ГК "АСТА-информ", (351) , ru Изменения законодательства Российской Федерации в сфере персональных данных на 2014 г. Астахов Александр Геннадьевич ГК «АСТА-информ»
Нормативные правовые акты в сфере ЗПДн 1. Федеральный закон от г. 152-ФЗ «О персональных данных» 2. Постановление Правительства РФ от г «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 3. Постановление Правительства РФ от г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» 4. Постановление Правительства РФ от г. 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 5. Постановление Правительства РФ от г 211.«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» ГК "АСТА-информ", (351) ,
Нормативные правовые акты в сфере ЗПДн 6. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от г. 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных» отменен с апреля 2014 г. 7. Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утвержден приказом Министерства связи и массовых коммуникаций Российской Федерации от ) 8. Приказ Роскомнадзора от г. 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» ГК "АСТА-информ", (351) ,
Нормативные правовые акты в сфере ЗПДн 9. Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных ( Приказ Роскомнадзора от ) 10. «Об утверждении требований и методов обезличивания персональных данных» (Приказ Роскомнадзора от ) «Методические рекомендации по применению Приказа 996» Приказ Роскомнадзора от г. 11. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСТЭК РФ от ) 12. Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (Приказ ФСТЭК РФ от г.) 13. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГК "АСТА-информ", (351) ,
Нормативные правовые акты в сфере ЗПДн 14. Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. 17 «Требования о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах» 15. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (Приказ ФСБ РФ от /54-144) 16. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, не составляющие государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСБ РФ от г. 149/6/6-662 ГК "АСТА-информ", (351) ,
Сейчас актуальна 12 версия 152-ФЗ Важнейшие обновления: - оценка вреда субъекту персональных данных - Политика в области обработки персональных данных Существенные правки в ст.19 (меры по безопасности персональных данных) - технические меры в Законе - уровни защищенности (вместо классов ИСПДн) ГК "АСТА-информ", (351) ,
ГК "АСТА-информ", (351) , ru Как изменилось законодательство в г ? Апрель 2013 г. Приказ Роскомнадзора РФ «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту персональных данных» Май 2013 г. 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и Федерального закона О персональных данных» Приказ ФСТЭК РФ 21 Июнь 2013 г. Приказ ФСТЭК РФ 17 Гражданский кодекс РФ ст «Охрана частной жизни человека»
Какие изменения приняты и опубликованы в 2013 г. сентябрь 2013 г. Разъяснение Роскомнадзора РФ от 30 августа 2013 г. О вопросах отнесения фото и видеоизображения к биометрическим персональным данным и особенности их обработки Приказ Роскомнадзора РФ от 5 сентября 2013 г. 996 «Об утверждении требований и методов обезличивания персональных данных». Декабрь 2013 г. Методические рекомендации по применению приказа октябрь 2013 г. Приказ ФСБ РФ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (проект) декабрь 2013 г. Проект Федерального закона О внесении изменений в ФЗ 152 «О персональных данных» ГК "АСТА-информ", (351) ,
ГК "АСТА-информ", (351) , ru Перечень государств, обеспечивающих адекватную защиту персональных данных 1.Страны, подписавшие Конвенцию Совета Европы. Страны Евросоюза. ( 26 стран) 2. Страны, имеющие общенациональные правовые акты и уполномоченный надзорный орган. (8 стран) 3. Страны, обеспечивающие адекватную защиту персональных данных. (19 стран) Нет США, стран СНГ
ГК "АСТА-информ", (351) , ru Перечень Федеральных Законов «О прокуратуре Российской Федерации» «Об актах гражданского состояния» «О негосударственных пенсионных фондах» «О государственной дактилоскопической регистрации в Российской Федерации» «О государственной социальной помощи» «О государственном банке данных о детях, оставшихся без попечения родителей» Трудовой кодекс Российской Федерации Гражданский процессуальный кодекс Российской Федерации «О системе государственной службы Российской Федерации» «О связи» «О лотереях» «О государственной гражданской службе Российской Федерации» «О муниципальной службе в Российской Федерации» «Об образовании в Российской Федерации».
ГК "АСТА-информ", (351) , ru принципиально изменяющие Законы принципиально изменяющие условия обработки персональных данных 1.«О связи» 2.«О государственной социальной помощи» 3. Трудовой кодекс Российской Федерации 4. Гражданский процессуальный кодекс Российской Федерации 5.«Об образовании в Российской Федерации»
ГК "АСТА-информ", (351) , ru Оператор связи освобождается от обязанности получать согласие абонента на передачу его данных иным лицам с целью заключения и исполнения договора. 126-ФЗ «О связи»
ГК "АСТА-информ", (351) , ru Отменена ст.85, определяющей понятие персональных данных работника, представляется весьма неудачной и даже опасной. В утратившей силу статье обработка персональных данных работодателем четко ограничивалась трудовыми отношениями и конкретным работником, применение же расширительного толкования определения из 152-ФЗ ничего, кроме головной боли, операторам не добавит. Трудовой кодекс Российской Федерации
ГК "АСТА-информ", (351) , ru Изменения наделяют субъекта персональных данных правом подавать иски о защите прав, в том числе о возмещении убытков и компенсации морального вреда по месту жительства истца, что также весьма важно, учитывая количество нарушений, приходящихся на область интернет-коммерции, смс-рассылок. Гражданский процессуальный кодекс Российской Федерации 273-ФЗ «Об образовании в Российской Федерации» закон исключает из ст.94 п.4 все нормы, предусматривавшие возможность обработки персональных данных в рамках ЕГЭ без согласия участвующих в процессе субъектов.
75-ФЗ «О негосударственных пенсионных фондах» Фонд не обязан получать согласие вкладчиков, страхователей, участников, застрахованных лиц и выгодоприобретателей на обработку персональных данных в объеме, необходимом для исполнения договора. Фонд вправе поручать обработку ПДн всех этих субъектов организациям, которые, в соответствии с договором, осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах фонда, а также иным организациям, если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном страховании, договора о создании профессиональной пенсионной системы и не обязан получать согласие субъектов ПДн на поручение обработки персональных данных всем этим третьим лицам. ГК "АСТА-информ", (351) ,
ГК "АСТА-информ", (351) , ru Приказ ФСТЭК РФ 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" Приказ ФСТЭК РФ 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
ГК "АСТА-информ", (351) , ru Гражданский кодекса РФ ст «Охрана частной жизни человека» Неправомерным распространением полученной с нарушением закона информации о частной жизни гражданина считается, в частности, ее использование при создании произведений науки, литературы и искусства, если такое использование нарушает интересы гражданина. Если информация о частной жизни гражданина, полученная с нарушением закона, содержится в документах, видеозаписях или на иных материальных носителях, гражданин вправе обратиться в суд с требованием об удалении соответствующей информации, а также о пресечении или запрещении дальнейшего ее распространения путем изъятия и уничтожения без какой бы то ни было компенсации изготовленных в целях введения в гражданский оборот экземпляров материальных носителей, содержащих соответствующую информацию, если без уничтожения таких экземпляров материальных носителей удаление соответствующей информации невозможно.
ГК "АСТА-информ", (351) , ru ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (РОСКОМНАДЗОР) Руководитель Роскомнадзора России заявил, что в прошлом году подготовлен и передан в Правительство РФ законопроект, предусматривающий новые составы административных правонарушений, связанных с незаконной обработкой персональных данных. В случае его принятия, размеры штрафных санкций увеличатся с существующих 10 тыс. рублей до максимального размера в 300 тыс. рублей. Полномочия по ведению административных дел от органов прокуратуры будут переданы Роскомнадзору. «Скорейшее принятие законопроекта, на наш взгляд, позволит кардинально изменить ситуацию в области защиты прав субъектов персональных данных и обеспечить соблюдение принципа неотвратимости наказания на нарушения законодательства в этой сфере», - подчеркнул А. Жаров.
УКАЗ ПРЕЗИДЕНТА РФ 13 декабря 2013 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях - ФЗ от 27 июля 2006 г. 149 «Об информации, информационных технологиях и защите информации» - ФЗ от 27 июня 2011 года 161 «О национальной платежной системе» - ФЗ от 10 января 2003 года 20 «О Государственной автоматизированной системе «Выборы» ГК "АСТА-информ", (351) ,
статью : ч.2 « …использование несертифицированных средств защиты информации если они подлежат обязательной сертификации, …….- влечет наложение административного штрафа: -на граждан в размере от до рублей, с конфискацией несертифицированных средств защиты информации; -на должностных лиц в размере от до рублей; -на юридических лиц - от до рублей с конфискацией несертифицированных средств защиты информации. Законопроект от г о запрете использования для чиновников и руководителей государственных и муниципальных учреждений и предприятий мобильных устройств……. ГК"АСТА-информ", (351) ,
статью дополнить частями 6 и 7 следующего содержания: 6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, - влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц в размере от 1000 до 2000 рублей; на юридических лиц - от до рублей. 7. Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации (за исключением случаев, если такое действие (бездействие) содержит уголовно наказуемое деяние), - влечет наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей."; ГК"АСТА-информ", (351) ,
Ответственность за нарушения требований в сфере ПДн В Трудовом кодексе ст.81, ст.90 В Уголовном кодексе ст.137, ст. 140, ст.272 В КоАП ст , ст.19.7 ЧТО БУДЕТ во II пол года ??? ГК "АСТА-информ", (351) ,
ЧТО БУДЕТ Статья Нарушение условий обработки персональных данных, установленных законодательством Российской Федерации в области персональных данных Обработка персональных данных с нарушением требований установленных законодательством Российской Федерации о персональных данных, ШТРАФ на граждан в размере от 700 до 2000 рублей; на должностных лиц – от до рублей; на юридических лиц – от до рублей. ГК"АСТА-информ", (351) ,
Статья Незаконная обработка специальных категорий персональных данных Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законом, ШТРАФ на граждан от до рублей; на должностных лиц – от до рублей на юридических лиц – от до рублей. ГК"АСТА-информ", (351) ,
Ст Непредставление оператором информации и (или) доступа к сведениям, предусмотренных законодательством Российской Федерации о персональных данных ШТРАФ на граждан – рублей; на должностных лиц – от до рублей; на юридических лиц – от до рублей; ГК "АСТА-информ", (351) ,
ЧТО ПРЕДЛАГАЕТ РОСКОМНАДЗОР Статья Несоблюдение требований законодательства Российской Федерации о персональных данных по обеспечению безопасности персональных данных Невыполнение оператором обязанностей по соблюдению условий, обеспечивающих сохранность персональных данных материальных носителей и исключающих несанкционированный к ним доступ, в соответствии с законодательством РФ о ПДн, при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении персональных данных ШТРАФ на граждан от 700 до рублей; на должностных лиц – от до рублей; на юридических лиц – от до рублей. ГК "АСТА-информ", (351) ,
ЧТО ПРЕДЛАГАЕТ РОСКОМНАДЗОР Статья Несоблюдение требований законодательства Российской Федерации о персональных данных по обеспечению безопасности персональных данных Невыполнение оператором обязанностей по принятию необходимых правовых, организационных и технических мер по обеспечению безопасности ПДн при их автоматизированной обработке, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении персональных данных ШТРАФ на граждан от до рублей; на должностных лиц – от до рублей; на юридических лиц – от до рублей. ГК "АСТА-информ", (351) ,
Проект Федерального закона О внесении изменений в ФЗ 152 «О персональных данных» Обработчик – лицо, осуществляющее обработку персональных данных по поручению оператора. «Оператор вправе поручить обработку ПДн обработчику с согласия субъекта…» Договор, заключенный между оператором и субъектом ПДн, означает, в том числе согласие субъекта ПДн на поручение оператором обработки ПДн обработчику в целях исполнения договора. Конфиденциальность не требуется в отношении общедоступных и обезличенных ПДн Согласие в электронной форме (дистанционно) Биометрические персональные данные. Поправлено определение ГК"АСТА-информ", (351) ,
Проект Федерального закона О внесении изменений в ФЗ 152 «О персональных данных» Уведомление Роскомнадзора об инцидентах с ПДн. Операторы не начнут защищать персональные данные, а РКН не сможет защищать субъекта ПДн, если не будет в ФЗ 152 нормы о привлечения к ответственности за инциденты с ПДн. Операторы обязаны уведомлять РКН о факте неправомерного раскрытия персональных данных неопределенному кругу лиц. ГК"АСТА-информ", (351) ,